Robo de datos personales e íntimos a 500 millones de personas. ¡Ehhhhhh…! ¡Socorro! ¡Auxilio! ¡Favor!, !A mí la Legión! (Y para que ningún cuerpo de seguridad del Estado se me vaya a mosquear por creer que les hago un feo para hacerlos de menos al no mencionarlos, continuo, que sea lo que Dios quiera y que salga el sol por donde quiera) ¡A mí el Cabo Comandante de puesto de la Guardia Civil! ¡A mí servidores públicos de las fuerzas de seguridad del Estado para el mantenimiento del orden y la paz social de pro Tierra, Mar, Aire y de Asuntos Civiles, Penales y Eclesiásticos! ¿Que no veis que me están robando o qué? Pues hijos, si no lo veis más vale que dejéis de cobrar del erario público y que os dediquéis al toque de la guitarra o al cuente del chiste por las esquinas a ver si por lo menos os podéis ganar la vida honradamente y aportando algo útil a la sociedad [Oye, Jesusito de mi vida, que como eres Niño como yo y por eso te quiero tanto y te doy mi corazón. Mira que te digo, que por favor, por favor, por Tu Padre te lo pido. Que esto no caiga en manos de esos militarotes retirados que pedían fusilar a 26 millones de españoles, porque como lo lean de fijo que mañana estarán pidiendo fusilar a 26 millones de españoles + 1. Así que compórtate porque como no lo hagas me buscas la ruina. Y que no admito tontadas de que no me acordé, que yo no sabía, que yo pensaba… Que como no hagas lo que te pido, mañana mismo hecho a escribir (con permiso de Facebook) por aquí mismo y es que te zurzo. Vamos que te pongo como a un trapo, que no sabes con quien estás hablando, que yo a las buenas lo que quieras, pero a las malas… A las malas…, en fin, que tampoco te quiero asustar con esto. Pero vamos, que ligerito a lo que te pido]. 500 millones de personas a las que entre otras santidades Facebook le ha robado datos personales íntimos convertidos en mercancías que vende a otras santidades de la economía yo creo que no es moco de pavo o qué, queridos legionarios, guardias civiles, policías y fiscales míos, ¿es para que me defendáis o no? Y, ¿que por qué no me dirijo al gobierno? ¿Pero es que estáis tontos ú qué? Para qué quiero perder el tiempo con el gobierno que es el que permite que Facebook me espíe y me robe. A ver si encima de no venir a defenderme faltando al honor por no acudir a mi llamamiento de ¡A mí, a mí, a mí!, como buenos cristianos, me vais a tomar por tonto. Yo de gilipollas lo que queráis y un poco más, pero de tonto no tengo un pelo, y no por nada, sino porque tengo menos pelos que una bombilla. Soy calvo, de modo que no me interpretéis mal.

 

500 millones de afectados por la brecha de datos de Facebook: ¿y ahora qué?

Los datos robados en estas brechas suelen ser la base para ataques de ingeniería social, campañas de phishing o de smishing personalizadas, por ejemplo.

Por Marta Beltrán

KAOSENLARED

 8 Abr, 2021

La expresión brecha de datos se ve casi todos los días en los medios de comunicación. Se refiere a situaciones en las que los datos que le hemos proporcionado a un proveedor de servicios acaban estando disponibles para un tercero que, en principio, no debería haber tenido acceso a ellos.

Cuando estos datos son personales, la brecha tiene una importancia mayor, ya que cualquier situación en la que información relativa a una persona física viva identificada o identificable acabe en manos de una persona o grupo de personas no autorizadas puede implicar amenazas para su privacidad.

Dentro de los datos personales unos son más sensibles o críticos que otros. No es lo mismo nuestro nombre, apellidos o dirección, por ejemplo, que nuestro número de teléfono, número de la Seguridad Social, número de cuenta bancaria o genoma, si nos vamos al extremo.

La última brecha de Facebook

Estos días se habla mucho de una brecha en la que se han filtrado datos personales de más de 500 millones de usuarios de Facebook, de los cuales alrededor de unos once millones son usuarios españoles. Los datos que se han publicado incluyen nombre y apellidos, dirección, fecha de nacimiento, ID en Facebook, número de teléfono y en algunos casos, dirección de correo electrónico. Es decir, se trata de datos personales.

No consuma noticias, entiéndalas.

Estos datos fueron filtrados de la compañía en el año 2019 por culpa de una vulnerabilidad de seguridad que aseguran que fue remediada en cuanto se descubrió. Parece ser que esta base de datos con los datos extraídos se ha ido vendiendo en el mercado negro de datos desde entonces, hasta que este fin de semana se ha publicado en un foro de manera gratuita.

Hay que tener en cuenta que los datos ya tienen dos años, pero que en muchos casos seguirán siendo válidos ya que no cambiamos tan a menudo de número de teléfono o de dirección de correo electrónico.

Otro aspecto importante es que parece que ni en 2019 ni ahora Facebook se ha molestado en notificar a los usuarios afectados esta brecha ni en proporcionarles ningún tipo de detalle acerca de la misma.

¿Son frecuentes las brechas de datos?

Por desgracia, si las brechas de datos están a la orden del día en los medios de comunicación es porque prácticamente no hay día en el que no conozcamos una nueva. Los casos recientes de Facebook, Twitter, Microsoft, CapitalOne, Marriott, Equifax, Zoom, Spotify o Nintendo han sido muy sonados. Pero ningún tamaño de compañía (grandes, medianas o pequeñas) ni sector (tecnológicas, hostelería, aviación, banca, administración) se libra. Solo en 2020 se notificaron cerca de 4 000 brechas de datos en las que se fugaron 37 billones de registros de datos, un 141 % más que en 2019.

Que se conozca cuándo se producen las brechas es positivo: todos los usuarios afectados deben saberlo lo antes posible para poder tomar las medidas oportunas. De hecho, casi todas las regulaciones en privacidad y protección de datos inciden en este punto: si los proveedores que almacenan nuestros datos personales sufren una brecha, están obligados a notificarlo, tanto a los usuarios afectados como a las autoridades de control oportunas.

Por ejemplo, en el caso de España, deben avisar a la Agencia Española de Protección de Datos. Y deben hacerlo proporcionando toda la información (nada de comunicados vagos y genéricos en los que no se entiende nada) y en un plazo corto de tiempo (como mucho 72 horas). No es serio que la notificación llegue 6 meses después, cuando un medio de comunicación publica alguna noticia sobre la brecha y no queda más remedio.

El negocio de los datos

Lo que no es tan positivo es que se produzcan tan a menudo. ¿Por qué las brechas de datos se han convertido en una de las amenazas a la seguridad más graves hoy en día? ¿Por qué son cada vez más frecuentes y afectan cada vez a un número mayor de usuarios? Porque los datos personales son la base de muchos modelos de negocio en la actualidad, tanto lícitos como ilícitos.

En los últimos años se ha extendido mucho el concepto de economía de la vigilancia para referirse a la situación actual en la que los datos personales de los usuarios son una mercancía más sujeta a la compra y a la venta. En el momento en el que este tipo de información se mercantiliza y tiene un valor, diferentes agentes, como proveedores de servicios o de aplicaciones o propietarios de diferentes tipos de recursos, tienen interés en vigilarnos de diferentes maneras para obtener todos los datos posibles sobre nosotros y nuestros hábitos, gustos, rutinas, etc.

La recopilación y el tratamiento de estos datos puede tener ventajas para los usuarios, ya que los servicios que consumen se pueden personalizar según sus necesidades. Pero obviamente, también tiene sus riesgos, sobre todo para la privacidad. Los usos legales que los proveedores hacen de estos datos pueden tener beneficiosos para ellos (comerciales), pero no para los usuarios.

Además, estos datos se tienen que almacenar en algún sitio y no siempre están lo suficientemente protegidos. Si un tercero, por culpa de una vulnerabilidad de seguridad, termina accediendo a ellos, se abren las puertas a todo tipo de usos ilícitos o ilegales.

Los datos robados en estas brechas suelen ser la base para ataques de ingeniería social, campañas de phishing o de smishing personalizadas, por ejemplo. También para ataques a cuentas bancarias o a tarjetas de crédito. O para ataques de suplantación, de manera que alguien pueda hacerse pasar por el usuario legítimo (la víctima), gracias a los datos robados en la brecha, en cualquier servicio o aplicación.

¿Cómo afecta esto a los usuarios?

En el caso concreto de Facebook, lo primero que podemos hacer es comprobar si somos una de las víctimas, ya que la compañía no se ha encargado de realizar las notificaciones oportunas. Los datos involucrados en la brecha se pueden consultar en diferentes sitios públicos en internet.

Muchos usuarios han suspirado aliviados al comprobar que se han visto afectados pero que en esta brecha no se han visto involucradas las contraseñas de sus cuentas. Pero el hecho de que las claves no se hayan visto involucradas no significa que la brecha no sea grave.

Como comentábamos antes, los datos personales pueden utilizarse como base para muchos ataques diferentes. Así que no está de más modificar la contraseña de la cuenta de Facebook, revisar el resto de contraseñas (que no se basen en datos personales, que no se reutilicen), no confiar en correos electrónicos o en SMS que parezcan personalizados y legítimos (porque se menciona nuestro nombre, apellidos, dirección o fecha de nacimiento) y no utilizar el SMS como un segundo factor de autenticación en servicios que sean críticos para nosotros (porque con el número de teléfono y su asociación al resto de nuestros datos personales, es más fácil realizar ataques de suplantación).

En general, si nos vemos involucrados en cualquier otra brecha de datos, las recomendaciones serían las mismas. Primero, enterarnos de si somos una de las víctimas (lo ideal es que nos lo notifique el proveedor, claro). Y a continuación, tomar todas estas medidas y, obviamente, si en la brecha de datos se ha comprometido nuestra contraseña, modificarla en la plataforma en cuestión y en cualquier otra donde usásemos la misma o una variación.

Fuente: The Conversation

*++